1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Wordpress + Suhosin ?

Dieses Thema im Forum "Installation" wurde erstellt von trib, 21. März 2007.

  1. trib

    trib New Member

    Registriert seit:
    21. März 2007
    Beiträge:
    2
    Zustimmungen:
    0
    Hallo,

    ich habe zu Testzweken mal einen Server (linux/apache2/php5/mysql) installiert und PHP zusätzlich mit dem Sicherheitspatch "Suhosin" versehen.

    Wenn ich nun ein Kommentar im Wordpress posten will bekomme ich die Fehlermeldung: "Fatal error: SUHOSIN - Use of preg_replace() with /e modifier is forbidden by configuration (attacker '192.168.2.30', file '/home/stefan/blog.local.lan/wp-includes/kses.php', line 446)" Soweit so gut, so hatte ich das auch konfiguriert, nur nicht erwartet Wordpress damit lahm zu legen :???:

    Unter Hardened-PHP Project kann man zur verwendeten Funktion "suhosin.executor.disable_emodifier" nachlesen:
    "The /e modifier inside preg_replace() allows code execution. Often it is the cause for remote code execution exploits. It is wise to deactivate this feature and test where in the application it is used. The developer using the /e modifier should be made aware that he should use preg_replace_callback() instead."

    Was irgendwie so klingt als sei es eine Spitzenidee diese Funktion abzuschalten um mehr Sicherheit für das System zu erreichen, daher meine Frage: kann man als PHP-Laie auf die Verwendung von preg_replace_callback() in kses.php umstellen ? :confused:

    Gruß,
    Stefan
     
    #1 trib, 21. März 2007
  2. mastermind

    mastermind Well-Known Member

    Registriert seit:
    13. Dezember 2005
    Beiträge:
    2.076
    Zustimmungen:
    0
    Man kann von Stefan Esser halten, was man will ;) -- aber ich bin ebenfalls der Meinung, dass der e-Modifikator ein potentielles Sicherheitsrisiko ist und vermieden werden sollte. Schnell ist hier ein Programmierfehler gemacht, der Code in den regulären Ausdruck einschleust. Insofern ist die Meldung berechtigt.

    In diesem speziellen Fall würde ich aber den e-Modifikator lieber zulassen. Aus folgenden Gründen: KSES ist eine externe Bibliothek und wird aktiv gepflegt; auch die WordPress-Implementierung von KSES darf als erprobt gelten. Außerdem ist es nicht empfehlenswert, in den Kern-Dateien von WordPress rumzufummeln, denn beim nächsten Update sind sie sonst weg.

    Ich empfehle daher, die Konfiguration von Suhosin anzupassen, so dass es den e-Modifikator zulässt, oder aber statt Suhosin das klassische HardenedPHP einzusetzen (das hab ich im Einsatz, und es läuft sehr gut).

    Außerdem solltest Du evtl. einen Bugreport im WordPress-Trac bzgl. Suhosin eingeben. Vielleicht kann man es ja doch besser machen.
     
    #2 mastermind, 21. März 2007
  3. trib

    trib New Member

    Registriert seit:
    21. März 2007
    Beiträge:
    2
    Zustimmungen:
    0
    OK, so wird's gemacht, vielen Dank für deine schnelle Antwort :)
     
    #3 trib, 21. März 2007
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden